31 de marzo, 2020
8 minutos
Cómo definir un plan de continuidad del negocio
Una empresa que vea cómo un incidente interrumpe alguno de sus servicios, tendrá unas consecuencias negativas financieras, de reputación e incluso de pérdida de clientes.
Por eso es necesario que todas las empresas dispongan de un plan de continuidad de negocio y contingencias, que les permita estar preparadas ante cualquier incidencia o problema que afecte a sus servicios.
Son muchas las razones que pueden hacer que los sistemas, equipos o procesos de una empresa dejen de funcionar, desde ataques externos como malware y errores no intencionados de usuarios, hasta fallos de hardware o desastres naturales (como incendios o inundaciones).
En este artículo hablaremos sobre qué es un plan de continuidad y contingencias en un negocio, por qué es importante implementarlo y cómo definir un plan de negocio para una empresa.
Qué es un plan de continuidad del negocio
Un plan de continuidad de negocio determina cómo puede continuar una empresa ofreciendo sus servicios en el caso de que, por alguna circunstancia, sus sistemas sufran de algún problema. El plan de continuidad y contingencias de un negocio debe recoger la estrategia que sigue la empresa para cumplir los objetivos básicos del plan, que son:
- Continuar con los procesos de la empresa a pesar de sufrir un imprevisto.
- Reducir el impacto de cualquier incidente que pueda afectar al corte o interrupción de los servicios.
Qué es BCM
Se denomina BCM (Business Continuity Management) o la gestión de la continuidad de negocio al proceso que se realiza para mantener la continuidad del negocio ante situaciones que impidan o interrumpan los servicios.
Por qué implementar un plan de continuidad del negocio
Como ya hemos visto, los dos objetivos del plan de continuidad del negocio son continuar con los procesos y minimizar el impacto de las incidencias, ante situaciones de interrupción o cese de la actividad empresarial.
La gran dependencia de las empresas con las tecnologías hace que las incidencias puedan ser causadas por múltiples factores de riesgo, por lo que, disponiendo de un plan de contingencias, estarán preparadas para lidiar con los mismos.
Los principales beneficios que se obtienen al implementar un plan de continuidad y contingencias de un negocio son:
- Conocer e identificar los factores de riesgo y amenazas.
- Se dispone de un tiempo determinado para la recuperación del servicio. Ante una incidencia, se conoce el tiempo que se tarda en volver a la normalidad.
- Se prioriza la protección de los activos (del más valioso al menos), dando prioridad de recuperación a los más importantes.
- Aumenta la competitividad, al recuperarse rápidamente (antes que la competencia).
- Permite localizar puntos vulnerables de la infraestructura y aplicar medidas correctoras.
- Se garantiza la continuidad de los procesos empresariales.
Cómo definir un plan de continuidad y contingencia del negocio
Para definir e implementar un plan de continuidad y contingencia del negocio que garantice la continuidad de los servicios, hay que definir una serie de fases.
Fases de un plan de continuidad
Podemos definir las siguientes fases en orden cronológico:
Determinar el alcance
En esta primera fase hay que determinar aquellos procesos, sistemas o activos que son fundamentales para la empresa, es decir, que su indisponibilidad supone un impacto negativo, causando un cese temporal en la actividad.
Análisis de impacto y de riesgos
El BIA (Business Impact Analysis) o análisis de impacto sobre el negocio, es un documento que recoge los requerimientos en recursos y tiempo de los distintos procesos que abarca el plan de continuidad. Con la información proporcionada en este análisis, se podrá escalar la prioridad a la hora de recuperar los distintos procesos y aplicaciones.
Dentro de este documento se medirán variables como el tiempo de recuperación de un proceso hasta ser restaurado (RTO), los recursos empleados en cada situación de contingencia (humanos y tecnológicos), el tiempo máximo tolerable de caída del servicio (MTD), el nivel mínimo de recuperación de una actividad para ser considerada recuperada (ROL), la dependencia entre procesos, y el impacto que produciría en la empresa la pérdida de datos.
También debe realizarse un análisis de riesgos donde se recojan las posibles amenazas a las que se puede enfrentar la empresa y las posibilidades existentes de que esas amenazas se materialicen (y el daño que puedan causar).
Plan de acción
Se debe crear un plan de respuesta y recuperación para cada uno de los elementos identificados como críticos. Todo este proceso debe generar una serie de documentos donde se recoja el plan de acción en caso de alguna contingencia.
- Recuperación de entornos. Son los planes relacionados con la recuperación de entornos o sistemas de trabajo, por ejemplo, recuperación de correo electrónico, recuperación de sistema operativo y similares.
- Procedimientos técnicos. En estos documentos se recogerá las acciones a llevar a cabo para gestionar y recuperar una infraestructura, sistema o entorno. Por ejemplo, se recogerá el sistema de copias de seguridad, indicando cuándo, cómo y dónde se realizan los distintos backups.
- Plan de crisis. En este documento se incluirán las decisiones que hay que tomar ante una situación de crisis, evitando cometer errores por precipitación o falta de decisión. Por ejemplo, cuándo y cómo activar un Disaster Recovery ante una situación de emergencia.
Test y análisis del plan
Una vez el plan está diseñado hay que probarlo para ver que funciona y poder detectar puntos débiles o erróneos. Para ello hay que realizar pruebas donde se simulen situaciones reales de incidencias que afecten a los servicios, para así activar el plan y ver los resultados.
De estos test debe realizarse un informe detallado sobre la aplicación del plan de continuidad y los resultados obtenidos, para que sirva como base para establecer medidas correctoras y posibles actualizaciones.
Tener la seguridad de que un negocio se recupera en el menor tiempo posible, es el principal objetivo de disponer de un plan de continuidad de negocio. Minimizar los riesgos y disminuir el tiempo de caída de los servicios es fundamental para evitar pérdidas importantes en la empresa a nivel económico, de imagen y de competitividad.
La implantación de un plan de continuidad y contingencias en un negocio sigue una serie de fases desde analizar las amenazas y riesgos, diseñar los planes de acción ante cada uno de ellos, priorizando los servicios y tareas más importantes, hasta la comprobación de los distintos sistemas y su funcionamiento.
Los planes de continuidad del negocio no son solo exclusivos de grandes empresas y corporaciones. Hoy en día las pymes e incluso los autónomos dependen de la tecnología para poder acceder a sus procesos y servicios. Cada plan de contingencias debe adaptarse a las distintas necesidades de cada empresa realizando un profundo análisis de los riesgos y amenazas que puedan detener o interrumpir la actividad.
En este sentido, a medida que la tecnología avanza se requiere conocer, desarrollar y establecer medidas de seguridad que garanticen la continuidad operativa de un negocio.
AMBIT BST
En Ambit BST constituimos un equipo multidisciplinar orientado a la identificación de riesgos y controles en la gestión de las TI. Si quieres conocer más de las soluciones que te podemos ofrecer, no dudes en ponerte en contacto con nosotros.
Cuéntanos tu opinión